グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている（弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ、ITmedia）。

流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• ログオンID（EVANGELION STORE(オンライン)会員用メールアドレス）
• パスワード（EVANGELION STORE(オンライン)会員用）

ソニー子会社の「Qrio」が提供するスマートロックサービスで11月27日から障害が発生しているそうだ。このシステムはドアに設置し、モーターでカギを物理的に回して解施錠を行う「Qrio Lock」を用いたサービス。Qrio Lockは登録したスマートフォンを持って近づくと自動的に解錠し、ドアが閉まればオートロックをおこなうスマートロックシステム（Qrioリリース、ITmedia、Qrio Lockの公式動画、Qrio Lockのハンズフリー解錠って実際どういう仕組みで動いてるの？）。

同社ではQrio Lockをインターネット経由やスマートスピーカー経由で遠隔操作するためのユニット「Qrio Hub」をオプションとして提供していている。今回のシステム障害はこの「Qrio Hub」側で起きているという。リリースによればQrio Hubとサーバー間の通信エラーが発生し、Qrio Hubに対してネットからのリモート操作による解施錠とQrio Hubによる解施錠履歴更新ができない状態であるとしている。Qrio Lock単体で使える解施錠機能は従来通り利用できる。同社では調査及び復旧に向けた対応を行なっていくとしている（参考：「Qrio Smart Lock」は「Qrio Hub」を以て完成する!）。

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

リクルートの提供しているサービス向けID「リクルートID」で、特定のユーザ名を含んだメールアドレスへのメール配信を制限しているそうだ。制限されるユーザ名はサイトに一覧として掲載されているが、「info@」「www@」「admin@」「group@」といったものが制限の対象となっている（リクルートID登録しようとすると「このメールアドレスではリクルートIDからのメールを受信できません」とエラー表示される）。

この件に関する説明記事によれば、プロバイダなどでは不適切なメールを検知してブロックする場合があることから、こうしたアドレスにメール配信をし続けるとドメイン単位でブロックされてしまい、ほかのユーザーへのメール送信に遅延や停止等の支障がでてしまうためだとしている。同社では該当するメールアドレスを利用している場合、メールアドレスの変更を行うように求めている。

あるAnonymous Coward 曰く、

独自ドメインを利用している人は、該当する場合が結構あるのではないでしょうか。

イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ（英国政府リリース、Engadget、GIGAZINE、iPhone Mania）。

この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド（約15億2610万円）あるいは世界市場での売上げの4％が罰金として科せられるとしている。

headless 曰く、

Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。

2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。

脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。

一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。

CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。

先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事、 Neowin の記事、 Mashable の記事、 Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。

• double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
• hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
• pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
• climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
• neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
• Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811～1820) の上流階級の衣服をイメージした服装
• cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの

Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1、 Neowin の記事、 The Guardian の記事)。

Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。

Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1]、 [2]、 Cisco Talos Intelligence Group の記事、 Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379 もその一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。

Appleが23日、イスラエルのNSO Groupに対し、Appleユーザーを監視・標的にした責任を問う訴訟を起こした。この件に関しては過去記事でも何度か取り上げられているが、同グループは個人データ、写真、メッセージ、正確な位置情報などを把握できるスパイウェア「Pegasus」を開発し、人権抑圧国家に売却していた（関連その1、その2）。ジャーナリスト、活動家、反体制派、学者、政府関係者といった反体制派の言論抑制などに用いられたとされる（Appleリリース、Reuters、TechCrunch、Engadget、日経新聞、GIGAZINE、ITmedia）。

今回の訴訟でAppleはユーザーへのさらなる悪用と被害を防止するため、同グループがAppleのソフトウェアやサービス、デバイスの使用を禁止する恒久的な差止命令や賠償金支払い命令を求めている。訴状では、NSO Groupが被害者の機器にスパイウェア「Pegasus」を感染させる方法に関する情報なども記載されているという。Appleはリリースの中で、NSO Groupのような国家に支援されている組織が、説明責任を果たさず高度な監視技術に何百万ドルも費やしているとし、この状況を変える必要があるとしている。

headless 曰く、

世界知的所有権機関 (WIPO) が 9 月、ドメイン名「jrrtoken.com」が商標「J R R TOLKIEN」を侵害しているとして、商標を保有する J.R.R. トールキンの遺産管理団体への移転を命じていたようだ (WIPO の裁定、 The Verge の記事、 Ars Technica の記事)。

このドメイン名を使用していた暗号通貨「JRR Token」は「すべてを支配する一つのトークン (The One Token That Rules Them All)」をキャッチフレーズとし、トールキン作品のさまざまな要素をテーマに用いていた。そのため、トークンの提供が開始された直後の 8 月 7 日、トールキンの遺産管理団体が WIPO の調停仲裁センターに申立てを行っていたという。このドメインはセンターが裁定を行った時点で「thetokenofpower.com」にリダイレクトされており、トールキン作品「ホビット」に登場するガンダルフに似た人物を含む複数の魔法使いの画像や、トールキン作品に関連するそのほかの画像が使われていたそうだ。

訴えられたドメイン保有者 (被告) は「jrrtoken.com」が商標の「L」と「I」を含まず、混乱するほど似ていないと主張したほか、トールキン作品のイメージを使用したのはパロディであり、不誠実さをもって使用したのではないなどと主張した。しかし、被告は著名な商標の 1 ～ 2 文字を置き換えたドメイン名が必ずしも商標を侵害しないという WIPO の過去の裁定を依拠としていたが、現在は当時と異なる認知可能性テストにより判定が行われるようになっている。そのため、審査委員は現在の基準で混乱するほど似ていると判断した。また、被告がパロディだと主張した点も商標の想起を認識していたことを裏付けるものとされた。

このほか、ドメイン名に対する正当な権利が被告にないこと、ドメイン名が不誠実に登録・使用されたことも認定され、ドメイン名移転の申立要件がすべて満たされたとのことだ。

taka2 曰く、

シンガポール国立大学と韓国の延世大学の研究チームは、スマホの深度センサーを用いて隠しカメラを発見する「Laser Assisted Photography Detection (LAPD) 」という技術を、ACM SenSys 2021で発表した（論文、Forbes JAPAN、INTERNET Watch）。

LiDARの出すレーザーがカメラレンズに反射したときのパターンを機械学習することで、隠しカメラ検出を実現している。
実験では、肉眼では46%しか見つけられなかった隠しカメラを、スマホカメラを用いたLAPDで88.9%検出できている。

サンダーバード一号の自動カメラ探知機が現実のものになるとは…

Chromium のソースツリーに 9 月 9 日から 11 月 18 日まで、マルウェアを含むテスト用の Office ドキュメントが誤ってコミットされていたそうだ(Google グループでのアナウンス、 9to5Google の記事)。

このマルウェアが Chrome のリリースに含まれることはなく、Google Chrome や派生版ブラウザーのユーザーが影響を受けることはないという。また、マルウェアサンプルは 5 年前の古いものであり、Windows 上で Chromium のソースコードから Microsoft Office を使用して開かかなければ実行されることはないが、Chromium 開発者にはリベースの実行が推奨されている。

過去記事でも取り上げたようにマルウェア「Emotet」は、欧米8か国の合同捜査チームに一度制圧され活動を停止した。4月26日以降は国内での感染はほとんど観測されていなかった。ところが情報処理推進機構（IPA）の16日に発表によると、14日ごろからマルウェア「Emotet」の攻撃活動再開の兆候がみられるという（IPA、INTERNET Watch、JPCERT/CC 分析センターTwitter、BOMさんのツイート）。

それによるとEmotetへの感染を狙う攻撃メールが複数着信。IPAで攻撃メールに添付されていたWordおよびExcelファイルを入手して解析したところ、悪意のあるマクロが仕組まれていたとしている。IPAでは信用のおけないメールの添付ファイルは開かない、編集を有効にする、コンテンツの有効化というボタンはクリックしないよう注意するよう促している。

headless 曰く、

数千人の Firefox ユーザーが誤ってアップロードしたとみられる Firefox の cookie データベースファイル「cookies.sqlite」が GitHub の公開リポジトリで見つかったそうだ (The Register の記事)。

発見した英国の列車・長距離バス予約アプリ Trainline のセキュリティエンジニア Aidan Marlin 氏は問題を HackerOne で報告したが、GitHub からはユーザーが自ら公開した認証情報は脆弱性報告報奨金プログラムの対象にならないと言われたうえ、公表も自由にしていいと言われたため、怒って The Register にタレ込んだらしい。

Marlin 氏は個人情報が関わっていることから英情報コミッショナーオフィス (ICO) にも報告したといい、誤ってデータベースをアップロードしたユーザーの責任ではあるものの、個人情報を含むファイルが 4,500 件近く見つかっている以上、GitHub も何らかの対応をすべきだと主張する。

GitHub ではユーザーが誤ってアップロードしたクラウドの認証情報をスキャンし、公開リポジトリで見つかった場合は該当のクラウドプロバイダーに通知して失効させるサービスを 2015 年から行っている。クラウドの認証情報とは異なるものだが、The Register では Firefox の cookie データベースもスキャン対象に追加すべきだと述べている。